大家好,小弟剛來到一家新公司擔任MIS的工作，好死不死剛來的第一天公司Check Point的防火牆就掛了，從此每天躲在機房重建防火牆，好不容易找到原始光碟也弄了台測試PC終於灌好了CP,但就是不Work！不work的情形是client不能連上網，而CP這台Server本身則是可以正常上網.

我的環境如下
OS:W2K Server SP4
HW:P4-2.8G 512MBRam 40GBHDD 3片3Com網卡
Inside:192.168.12.10/24
DMZ:192.168.1.254/24
Outside:61.x.y.z/16
連外頻寬2M/512K
rule目前只有兩條
InsideNet any any accept
Any any any Drop

贊助商連結

您好像沒有設定 NAT 的 Rule 喔?...沒有 NAT 的話, 裡面的用戶會出不去...

最初由 raytracy 發表
您好像沒有設定 NAT 的 Rule 喔?...沒有 NAT 的話, 裡面的用戶會出不去...
我有在Network Object的InsideNet設定NATㄚ(Hide Mode)

給個建議，有時簡單的事情不一定要複雜化。
也許不一定非要使用原來的系統，既然您本身是位MIS，
我想應該有非常多不同的解決方案，不要被原來的東西綁住了。
養成一個習慣，旁邊一定要在放一套臨時備援的系統，不管是怎樣的硬體。
防止系統突然掛掉時就完蛋了，會被老闆盯到爆的。

那麼 Client 端去 ping Firewall 的 IP 是否可以通? 至少 192.168.12.10 要能通....

然後把最後一條 any any drop 後面設成 Log, 這樣可以把所有被拒絕的封包都 log 下來, 讓 client 端連外面幾次, 然後取消 log 恢復成 drop (不要一直維持 log, 免得記下一大堆垃圾, 反而不容易找資料).

再看一下 log 下來的資料, 看看 client 聯外面時, 被 log 的原因是什麼? 就知道還有什麼地方沒有改到.....

我從Log Viewer上有看到一連串drop的訊息如下
message_into address spoofing
Source add都是我的Client
而Dest add則是extranet add

最初由 rushoun 發表
給個建議，有時簡單的事情不一定要複雜化。
也許不一定非要使用原來的系統，既然您本身是位MIS，
我想應該有非常多不同的解決方案，不要被原來的東西綁住了。
養成一個習慣，旁邊一定要在放一套臨時備援的系統，不管是怎樣的硬體。
防止系統突然掛掉時就完蛋了，會被老闆盯到爆的。
大大說的真是肺腑之言，小弟深有同感
公司目前是有用零壹的AF400當做備援系統,所以網路還可以使用
只是老闆總是希望可以恢復原來的防火牆
阿聽到廠商報價2hr7000元
就當場叫我搞定...真是歹命ㄚ..又不是我搞壞的:( :mad:

您在設定 NAT 時, 有沒有把: Add automatic address translation rule 選項打勾?
您的 Hiding Address 是否設定為 Firewall 的 External IP? (這裡不能錯!!)

please refer to:
http://www.sans.org/rr/papers/20/733.pdf

查一下您的 Address Translate 畫面上顯示是否跟文件中一樣?....

看一下 Internal (Hiding address) 裡面的設定, 是否與您的 Local net 相同: 192.168.12.0/255.255.255.0 ?

若您忘了勾的話, 會少了上面這個設定, 請您再重設一次即可....

最初由 raytracy 發表
那麼 Client 端去 ping Firewall 的 IP 是否可以通? 至少 192.168.12.10 要能通....

然後把最後一條 any any drop 後面設成 Log, 這樣可以把所有被拒絕的封包都 log 下來, 讓 client 端連外面幾次, 然後取消 log 恢復成 drop (不要一直維持 log, 免得記下一大堆垃圾, 反而不容易找資料).

再看一下 log 下來的資料, 看看 client 聯外面時, 被 log 的原因是什麼? 就知道還有什麼地方沒有改到.....
Client 端去 ping Firewall 的 IP 192.168.12.10可以通
tracert 168.95.1.1則是第一點就* * *

Log Viewer的畫面